Los expertos en seguridad generalmente clasifican los crímenes por computadora en dos categorías: crímenes facilitados por una computadora y aquellos en los cuales la computadora es el objetivo.
El hacking ético es una evaluación de seguridad estructurada y organizada, usualmente como parte de una prueba de penetración o auditoría de seguridad, siendo un componente crucial en la evaluación de riesgos, auditoría, combatir fraude, y mejores prácticas en seguridad de los sistemas de información. Es utilizado para identificar riesgos y resaltar las acciones para remediarlas. También es utilizado para reducir los costos en las Tecnologías de Información y Comunicación (TIC) mediante la resolución de vulnerabilidades.
Los hackers éticos determinan el alcance de la evaluación de seguridad acorde a las preocupaciones en seguridad del cliente. Muchos hackers éticos son miembros de un "Equipo Tigre". Un equipo tigre trabaja en conjunto para realizar una prueba a gran escala abarcando todos los aspectos de la red, como también la intrusión física y del sistema.
Un hacker ético debe conocer las penalidades por hacking no autorizado en un sistema. Ninguna actividad del hacking ético asociada con una prueba de penetración a red o auditoría de seguridad, debe iniciarse antes de recibir un documento legal firmado autorizando expresamente al hacker ético realizar las actividades de hacking desde la organización objetivo. Los hackers éticos deben ser juiciosos con sus habilidades de hacking y reconocer las consecuencias de un mal uso de estas habilidades.
El hacker ético debe seguir ciertas reglas para cumplir sus obligaciones éticas y morales. Debe hacer lo siguiente:
- Obtener autorización del cliente y tener un contrato firmado autorizando al profesional realizar la prueba.
- Mantener la confidencialidad cuando se realice la prueba y seguir un Acuerdo de Confidencialidad (NDA) con el cliente para la información confidencial expuesta durante la prueba. La información recolectada podría contener información sensible, y el hacker ético no debe exponer ninguna información sobre la prueba o datos confidenciales de la compañía hacia terceros.
- Realizar la prueba hasta los límites acordados pero sin ir más allá. Por ejemplo los hackers éticos solo deben realizar ataques DoS si lo han acordado previamente con el cliente. Una organización cuyos servidores o aplicaciones no estén disponibles para los clientes debido a las pruebas podría perder ingresos, perder prestigio, y tener consecuencias aún peores.
Los siguientes pasos proporcionan un marco de trabajo para realizar una auditoría de seguridad en una organización, lo cual ayudará a garantizar la prueba es organizada, eficiente, y ética:
- Hablar con el cliente y discutir las necesidades a ser abordadas durante la prueba
- Preparar y firmar documentos NDA con el cliente
- Organizar un equipo de hacking ético y preparar el cronograma para pruebas
- Conducir la prueba
- Analizar los resultados de la prueba y elaborar un reporte
- Presentar el reporte de hallazgos hacia el cliente
Sin embargo existen limitaciones también. A menos las empresas primero conozcan aquello lo cual están buscando y porque están contratando un proveedor externo para hackear sus sistemas, es probable no obtengan mucha ganancia desde la experiencia. Un hacker ético por lo tanto puede únicamente ayudar a la organización a comprender mejor su sistema de seguridad. Es responsabilidad de la organización implementar las salvaguardas correctas sobre la red.
Fuentes: